Как определить шифровальшик по его действиям в файле ?

Добрый день !
Есть файл (файловая база 1с) размером 500 метров. испорченная. И есть бэкап базы очень давний.
При сравнении этих файлов (их начал) было выяснено. Что изменены не все блоки а только некоторые блоки у которых адреса начинаються на С00 (сами измененные блоки длинною FF). Пример адресов измененных блоков (F1C00 E5C00 21C00 55C00 A1C00 115C00).

В 99% эти блоки в нормальном файле забиты нулями(00) в зараженном же файле (примерно 20%) этих нулей поменяны на какое-то значение из вот этого списка(1,2,4,8,10,20,40,80 (HEX формат)).

в каждом изменёном блоке - заменены разные байты. На взгляд пока непонятно по какому правилу одни байты меняются а другие нет. Но в каждом блоке изменены разные байты.

Вопрос. Можно ли по природе заражения файла - понять в сторону какого вируса шифровальщика копать.

Оба файла были присланы с другой машины. На которой Ось уже переставлена. (Админы проявили ненужную скорость)

У кого какие мысли есть по этому поводу. Заранее спасибо.

Уважаемый(ая) [B]PORGY3000[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[ATTACH=CONFIG]564909[/ATTACH]

Пример зараженного блока. Сверху зараженный, снизу не зараженный.